Liegen in deinem Webroot denn die Ordner "/webseite/css/"?
Liegt in dem Ordner {webroot}/webseite/css/ denn auch die Datei "site.a69d84.css"?
Posts by Lukay
-
-
Also ist die in diesem Thread geschilderte "Selfie Verifikation" tatsächlich üblich?
Hatte ich tatsächlich bei einem ausländischen Provider schon mal. (Selfie mit Perso)
-
du solltest auf gar keinen Fall SQL-Statements vom Client zulassen
Da stimme ich definitiv zu. So hatte ich den Post im ersten Moment gar nicht interpretiert
-
Hallo,
natürlich kann jeder, der möchte, die Anfragen in der Browser Konsole einsehen und kopieren. Dagegen kannst du auch meiner Meinung nach nicht viel machen.
Wenn die Abfragen via Ajax wirklich so sensibel sind, solltest du vielleicht einen Login bauen?
Du könntest im PHP Script abfragen, ob der User, der die Ajax anfrage stellt, eingeloggt ist, und dann dementsprechend reagieren.
Das würde den User natürlich nicht davon abhalten, die Ajax abfragen zu manipulieren, aber du hättest bessere Kontrolle, wer überhaupt an die Daten gelangt.
-
Zumindest solange bis die etwas komplexeren bots kommen.
Funfact: einer meiner Server, mit einem alternativen SSH Port, steht seit ein paar Tagen plötzlich unter "Angriff", nachdem Jahrelang ruhe war
-
Was sagt denn sudo systemd-analyze verify ts3server.service ?
Good to know, dass das existiert
-
kommt das in unit oder service?
In den Service
-
-
What? Why?
Das denke ich mir so häufig, wenn ich mir shell skripte anschaue.
-
Bei uns auf dem Land ist jeden ersten Samstag im Monat Probealarm für die Feuerwehr-Sirene.
Aber gestern ist alles Stumm geblieben?..
Scheinbar zählten die Feuerwehr-Sirenen nicht zum test dazu?
-
aber ich hab' Vorbehalte bei den ganzen Updatereien
Sicherheitsupdates klar, die müssen immer sein. Aber es kann leider nicht alles 20 Jahre lang in alte Versionen backported werden.
Irgendwann muss die Software nunmal geupdated werden
weil es f. mein Webmail kein Update mehr vom Release meiner Distri her gab
Davon würde ich sowieso weg gehen. Webapplications werden bei mir nur von deren offizieller Website runtergeladen und entweder von dort geupdated oder mit deren eigenem System. (z.B. owncloud bringt einen Self-updater mit).
Auf der Website der Software siehst du dann auch, welche abhängigkeiten bestehen. (php version, php extensions etc.)
Mit Webapplications hatte ich in dem Sinne noch nie Probleme.
Dank vhosts und php-fpm kann man ja auch problemlos verschiedene php Versionen parallel betreiben.
-
dass Sicherheitslücken durch veraltete Compiler/Interpreter udgl. kommen
und nix mit etwaigem Pfusch im Quellcode zu tun haben?
Teils. Lücken im Interpreter können sicheren Code unsicher machen und unsicheren Code noch unsicherer machen
Edit: Beispiel USN-4166-1
Display MoreCode- Summary:
- PHP could be made to run programs if it received specially crafted network
- traffic.
- Software Description:
- - php7.3: HTML-embedded scripting language interpreter
- - php7.2: HTML-embedded scripting language interpreter
- - php7.0: HTML-embedded scripting language interpreter
- Details:
- It was discovered that PHP incorrectly handled certain paths when being
- used in FastCGI configurations. A remote attacker could possibly use this
- issue to execute arbitrary code.
-
Umso mehr ich darüber nachdenke... ich habe ab nächste Woche nen neuen Azubi im Team
Vllt hat der ja mal langeweile.. in der Mittagspause oder so
-
Gegeben sei eine Liste mit sehr sehr sehr sehr vielen Subnetzen (entweder v4 oder v6, nicht gemischt). In der Liste gibt es mehrere große Subnetze, welche sehr viele kleinere Subnetze aus der Liste enthalten.
Das klingt wie eine Aufgabe aus der Berufsschule
-
Lukay handelte es sich hier um Festplatten und da zufällig um WD?
Nein, SSDs von Samsung
-
Ist der Laden (mindfactory) zuverlässig?
Leider hab ich schon schlechtes über Mindfactory gehört. Deswegen lasse ich mein Geld meist bei Alternate.
Ein Beispiel einer "Mindfactory" Geschichte:
Mindfactory verkauft (teilweise?) Ware außerhalb ihres Bestimmungsmarktes. Wenn man dann einen Garantiefall melden möchte, wird man von Mindfactory an den Hersteller des Produkts verwiesen.
In dem Fall meinte der Herstellter, dass das Produkt gar nicht für den Markt EU gedacht war und deswegen kein Umtausch oder Erstattung möglich ist.
-
Ich würde empfehlen eine Fehlerbehandlung einzubauen.
Wenn die Verbindung stirbt, einfach reconnecten.
Da der DB Server des Webhostings nicht unter deiner Kontrolle ist, musst du immer mal damit rechnen, dass dieser neugestartet wird.
-
Vielen Dank euch. Das Schweizer Taschenmesser hat mich in die richtige Richtung gelenkt und zusammen mit der Doku hab ich mich langsam an alles rangetastet. Einzige Problem ist noch, dass ich über den Proxy keine Dateien hochladen kann, die etwa größer 1MB sind. Irgendwo renne ich da wohl noch in einen Timeout oder ein Limit, aber jetzt wird es langsam spät
Wahrscheinlich liegt dein Problem hier begraben: nginx client_max_body_size
-
woraus schließt Du das?
Weil außer SSH nichts läuft und die Passwörter von Netcup einigermaßen lang genug sind um realistisch gesehen gegen Bruteforce gesichert zu sein.
(Natürlich schließt das für mich mit sein, dass das Image einigermaßen aktuell ist, was Sicherheitsupdates angeht)
das Passwort wird per unverschlüsseltem Mail verschickt; und das Postfach wo es dann landet ist nicht immer auf vertrauenswürdigen Servern
Ja, das wäre ein Angriffsvektor. Aber vllt doch eher für Statsfeind? Ich betreibe zwar schon einen Teil meiner Mailkonten selbst, muss aber dem Teil, der über externe Anbieter läuft, zu einem gewissen Punkt vertrauen können.
Im zweifel hast du halt ne Maschine mit exponiertem Port und Passwort mit einer Gigabit Anbindung im Internet hängen
Ich nehme mich meinen neuen Servern auch meist innerhalb einer Woche an, installiere von eigenen ISO's und sichere ab.
Aber für den 0815 Nutzer ist es sicher komfortabler, wenn der Server bereits läuft und er direkt loslegen kann.
Nur weil alle es so machen, heißt das ja noch lange nicht, dass das die optimale Lösung aktuell ist
Da Netcup's Server (seit dem wechsel auf Debian 10) einigermaßen Sicher ausgeliefert werden, sehe ich persönlich nicht den Mehrwert daran.
Und Netcup sieht wahrscheinlich den Kosten/Nutzen Faktor dabei. Wie marpri bereits erwähnt hat, wird es dann wohl mehr Supportanfragen hageln
(Ob man die User, die zu doof sind, das zu bemerken, wirklich in seinem Netz haben will, ist eine andere Sache. Aber Netcup will natürlich erst mal Geld verdienen)
-
Display More
Lukay das hätte mehrere Vorteile.
1) Ich buche öfters Server ohne direkt eine Verwendung zu haben, quasi auf Vorrat zu Aktionen - dann wäre der Server mitunter mehrer Wochen oder Monate unkontrolliert online
2) Zwischen Buchung und Auslieferung des Servers vergehen mitunter auch mal mehrere Stunden, gerade bei Neukunden. Auch hier wäre der Server einige Zeit ungeschützt online.
Klar stellt das in den meisten Fällen kein Problem dar, aber am Ende haftet der Kunde für alles was nach der Bereitstellung passiert.
Klar gibt es auch gute Gründe dafür. Aber für mich erschließt sich der Mehrwert nicht.
Der Server ist ja nicht wirklich "ungeschützt". Im aktuellen Fall ist es ein minimal-Image, D.h. es lauscht nur der SSH. Und solange die Passwörter, die Netcup generiert einigermaßen lange sind, ist die realistische Chance sehr gering, dass da was passieren kann.
Die Diskussion erscheint mir sehr an eine gewisse Zielgruppe angepasst zu sein. Da erschließt sich mir schon eher, wieso Netcup es allen anderen Providern gleich tut und die Server betriebsbereit ausliefert.
